旅館・ホテル等宿泊業の情報セキュリティ対策

2019 年はラグビーワールドカップも盛り上がりました。そして 2020 年は東京オリンピック・パラリンピックが開催されます。昨年以上に海外からの訪日観光客が見込まれています。今回は宿泊業に懸念される情報セキュリティ対策に触れていきます。

GDPR の適用による影響

日本政府観光局 (JNTO) 発表統計の数字が示すように、日本を訪れる外国人観光客は、ここ数年で急激に伸びています。

日本政府観光局 (JNTO) 発表統計よりサイバートラスト作成

これに伴い、宿泊施設の不足が目立つようになり、飲食や小売業、アパレルなどからの新規参入も盛んに行われています。
これ自体は悪いことではないのですが、海外の法律や文化などを理解しないと大きなトラブルにもなりかねません。

特に EU 加盟国を始めとする地域では、いわゆる GDPR（一般データ保護規則）が施行されて以来、個人情報に対する厳格な対応要求を外国企業にも行うようになりました。
GDPR では違反した企業に巨額の制裁金が課されます。過去には有名検索サイトの違反事例では 5,000 万ユーロ（約 60 億円）、イギリスの航空会社の違反事例では 1 億 8339 万ポンド（約 250 億円）の制裁金が要求されました。

GDPR が適用されるのは、EEA（欧州経済領域）域内に居住する市民の個人情報を扱う、個人事業主を含むすべての企業や団体です。つまりオンライン予約などで EEA の旅客の個人情報を得た時点で、GDPR の適用範囲となることに留意が必要です。

2018 年、フランスのホテル予約システムソリューションを提供するサーバーに不正アクセスがありました。不正アクセスは 6 月 15 日と 6 月 17 日に発生し、日本国内の宿泊施設（569 施設）の予約個人情報および暗号化されたクレジットカード情報が漏えいしました。この漏えいした個人情報は GDPR の対象と見なされ、適切な管理責任を果たしていたかが問われました。
適切に個人情報の管理責任を果たしていないと見なされた場合、高額な制裁金が課せられる可能性は、どこの宿泊施設にもあるのです。

旅行予約サイトの事件であっても、宿泊客情報の管理責任は旅館・ホテルにあります。自らの管理体制の確認とともに、委託先の個人情報管理体制も把握しておく必要があります。

プライバシーの扱いは慎重に

日本の宿泊業ではサービスの基とするデータとして性別などのプライバシー情報を要求するケースがあります。寝巻、アメニティ、風呂等、宿泊者へのサービス向上のために確認しているという背景もあるのでしょうが、慎重に考えなければなりません。

海外からの旅客を受け入れるのであれば、こうしたプライバシー情報はクレジットカード情報等と同様に「要配慮個人情報」として扱う方がよいでしょう。

プライバシー情報に関しては国によって規制の対象などに相違点があることを理解して適切に情報収集する必要があります。プライバシー情報は同意を得て取得し、暗号化して保管しておきましょう。また、運用上不要であれば情報を収集しない、または情報を必要としない形に運用を変える、というのも対策のひとつです。

宿泊業の情報セキュリティガイドライン

個人情報保護法に沿った個人情報の管理を行うのはもちろんですが、国土交通省では、サイバーセキュリティ対策室が行った宿泊事業者にアンケート調査をもとにした宿泊施設用 情報セキュリティ対策チェックリスト をまとめています。

宿泊施設では、外部とつながった予約管理システム、従業員の社内ネットワーク、宿泊客向けのネットワークなど、複数のネットワークが存在しているケースがあり、正しく設計していないと宿泊客向けネットワークからファイヤーウォールの管理画⾯、さらには予約管理システムの内部にまでアクセスができてしまう、といったような事も起こりかねません。
近年では、Wi-Fi による決済端末も増加しており、宿泊施設には通信の暗号強度に対しても、より安全対策が求められます。不正利用や情報の盗聴といった脅威から宿泊客のプライバシーを守るためにも、ネットワークや機器・設備に対する情報セキュリティ対策の実施が推奨されます。

なお、当社では、過去に沖縄県の宿泊施設ゆがふいんおきなわ様に情報セキュリティ対策として、脆弱性診断サービス・Wi-Fi 調査サービスを実施させていただいたことがございます。事例として掲載しておりますので合わせてご覧ください。